basti76nie
Goto Top

Versteh nur Bahnhof beim Einrichten der IPSec VPN Verbindung auf dem D-Link Router

Hallo,

ich habe mir nun bereits die zweite Nacht um die Ohren geschlagen um eine VPN-Verbindung (IPSec) zwischen
dem iPhone und meinem DLink DSR-1000N erfolgreich aufzubauen. Ich kann nicht mehr...

Im Router Menü unter den IPSec Policies gibt es Begrifflichkeiten mit denen ich nicht eindeutig etwas
anfangen kann.

So z.B.

Remote Enpoint
Ich verstehe darunter die IP-Adresse des iPhones, doch die IP ändert sich doch immer
wieder weil mir der Mobilfunkbetreiber keine feste IP gibt
Alternativ kann ich auch als Endpoint ein FQDN eintragen aber nur welchen?

Remote Identifier Type
Da habe ich FQDN ausgewählt und das Wort "iPhone" eingetragen. Dieses wiederum habe ich unter den IPSec Einstellungen
des iPhone als Gruppenname eingetragen. Passt das so?

Loca Identifier Type
Auch hier kann ich zwischen IP und FQDN wählen. Was trage ich aber ein, vielleicht die LOCAL WAN-IP?

In der User-Liste des Routers habe ich natürlich einen entsprechenden User angelegt.
Doch würde ich gerne dort als "Type" IPSec-User eintragen, doch dies wird nicht angeboten.
Ich kann nur zwischen L2TP, PPTP, LocalUser oder XAuth-Uswr auswählen.
Was ist denn nun bei einer IPSec-Verbindung auszuwählen?

Gibt es denn überhaupt eine "reine" IPSec-VPN Verbindung oder muss ich hier eher L2TP/IPSec
nutzen?

Nach eben den zwei Nächten bin ich immer wieder einen Schritt weiter gekommen. So bekomme
ich nun im VPN-Log schon mehr hin wie zu Beginn. Doch am Ende kommen zwei Fehlermeldungen
mit denen ich nichts mehr anfangen kann:

Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: sendfromto failed
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: sendto (Invalid argument)
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: DPD
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: CISCO-UNITY
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt

Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: RFC 3947
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Beginning Aggressive mode.
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received request for new phase 1 negotiation: 78.42.2.132[500]<=>109.84.0.11[61480]
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Configuration found for 109.84.0.11[61480].

Was bedeutet ERROR: sendfromto failes bzw. ERROR: sendto (Invalid argument)?

Ich wäre euch so dankbar über Tipps und Anregungen
Basti

Content-ID: 170621

Url: https://administrator.de/forum/versteh-nur-bahnhof-beim-einrichten-der-ipsec-vpn-verbindung-auf-dem-d-link-router-170621.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

mrtux
mrtux 29.07.2011 um 14:19:38 Uhr
Goto Top
Hi !

Forenmitglied aqui hat mehrere Tutorials zum Thema VPN geschrieben! Siehe auf der linken Seite bei "Top Aktivitäten" oder verwende die Suchfunktion des Forums!

In seinen Tutorials werden die Begrifflichkeiten zum Thema genau erklärt. Arbeite die durch, dann solltest Du das hinbekommen. Natürlich kann Dir der Mobilfunkprovider einen Strich durch die VPN Rechnung machen, Im Zweifel kannst Du den aber fragen. Manche Provider bieten keine wirkliche, öffentliche IP (zumindest war das mal eine Zeit lang bei Billiganbietern so). Mit VPN über Mobiltelefone habe ich noch Nachholbedarf (eigentlich auch nicht, wehre mich noch eisern gegen ein eigenes Smartphone) aber das tut ja hier nicht zur Sache...

mrtux
aqui
aqui 29.07.2011, aktualisiert am 18.10.2012 um 18:47:42 Uhr
Goto Top
Der IPsec Client im iPhone ist ein ESP Client der nur mit Xauth funktioniert. Vermutlich supportet deine D-Link Gurke das nicht und dann scheitert das immer.
Einfacher ist es immer eine PPTP Verbindung als VPN Verbindung im iPhone aufzubauen.
Router wie z.B. die von Draytek und auch dein DSR-1000N supporten alle auch PPTP.
Vielleicht hilft dir das Einrichtungsbeispiel einer Fritzbox für den IPsec Client im iPhone. Die FB supportet diese Feature: (Xauth User wäre bei dir richtig !)
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Details zum IPsec Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie bereits gesagt schalte um auf PPTP (Anhand deiner Traces sieht man das du derzeit IPsec als VPN nimmst !) und richte den PPTP VPN Server im DSR-1000N ein !!
Dein DSR-1000N supportet auch PPTP. Nutze also besser das, das führt dann auch zum Erfolg !
VPNs einrichten mit PPTP
basti76nie
basti76nie 29.07.2011 um 19:57:54 Uhr
Goto Top
Danke für die tollen Links. Bin auch schon weiter gekommen...
Viel kann doch nicht mehr fehlen oder?

Fri Jul 29 19:54:45 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: XAuthUser basti76nie Logged Out from IP Address 88.67.50.46
Fri Jul 29 19:54:45 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Purged ISAKMP-SA with proto_id=ISAKMP and spi=8371361c94ccc4da:8f50ef9b5d0b5699.
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] WARNING: Ignored attribute 28683
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] WARNING: Ignored attribute 28678
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] WARNING: Ignored attribute 5
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: Local configuration for 88.67.50.46[54343] does not have mode config
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received attribute type "ISAKMP_CFG_REQUEST" from 88.67.50.46[54343]
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: XAuthUser basti76nie Logged In from IP Address 88.67.50.46
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Login succeeded for user "basti76nie"
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received attribute type "ISAKMP_CFG_REPLY" from 88.67.50.46[54343]
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: ISAKMP-SA established for 78.42.2.132[4500]-88.67.50.46[54343] with spi:8371361c94ccc4da:8f50ef9b5d0b5699
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Sending Xauth request to 88.67.50.46[54343]
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: NAT detected: Peer is behind a NAT device
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: NAT-D payload does not match for 88.67.50.46[54343]
Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: NAT-D payload matches for 78.42.2.132[4500]
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: For 88.67.50.46[50343], Selected NAT-T version: RFC 3947Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Floating ports for NAT-T with peer 88.67.50.46[54343]
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: DPD
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: CISCO-UNITY
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt

Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: RFC 3947
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Beginning Aggressive mode.
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received request for new phase 1 negotiation: 78.42.2.132[500]<=>88.67.50.46[50343]
Fri Jul 29 19:54:28 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Configuration found for 88.67.50.46[50343].
aqui
aqui 30.07.2011 um 14:13:55 Uhr
Goto Top
Anhand des Eintags "IKE" kann man erkennen das du vermutlich den gut gemeinten Rat mit PPTP ignorierst und weiterhin mit IPsec zum Erfolg kommen willst.
IKE ist ein Bestandteil des IPsec Protokolls !!! (Internet Key Exchange Protocol) Siehe Beschreibung des IPsec Protokolls oben !
Soweit sieht das aber gut aus...auch das du mit dem Client hinter einem weiteren NAT Router liegst, was nicht ganz unproblematisch ist aber dein aktiviertes NAT Traversal das ausbügelt:
INFO: NAT detected: Peer is behind a NAT device
[IKE] INFO: NAT-D payload does not match for 88.67.50.46[54343]
[IKE] INFO: NAT-D payload matches for 78.42.2.132[4500]
[IKE] INFO: For 88.67.50.46[50343], Selected NAT-T version: RFC 3947Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Floating ports for NAT-T with peer 88.67.50.46[54343]

Das Problem ist das die D-Link Krücke nicht mit der vendor ID zurechtkommt, aber da fehelen die weiteren Debug Outputs ob er abbricht oder im Aggressive Mode weitermacht.

So oder so.... Die Empfehlung war aber ganz klar kein IPsec zu verwenden sondern deine D-Link Gurke mit PPTP als VPN zu aktivieren.
Schalte also bitte erstmal den D-Link in den PPTP Modus, konfiguriere entsprechend einen User und benutze im iPhone den PPTP VPN Client !!
PPTP hat weniger Fallstricke und DAS solltest du erstmal testen und IPsec vergessen.
IPsec kann man immer noch später machen bzw. testen. Wichtig wäre auch ein Test ob der D-Link ggf. L2TP erwartet im IPsec Modus, denn L2TP basiert ebenfalls auf IPsec.
Also erstmal IPsec vergessen und PPTP machen und ggf. den PPTP Debug Output hier posten ! Halte die an das PPTP Tutorial oben...
basti76nie
basti76nie 30.07.2011 um 14:34:33 Uhr
Goto Top
Hi aqui,

ich bin nur deswegen am IPSec-Thema dran, weil es mit PPTP auch nicht klappen wollte.

Zwischen iPhone und Router hat die Verbindung zwar per PPTP geklappt aber
nach wenigen Minuten ist die Verbindung "eingefroren".
Siehe dazu auch die Mail vom Dlink-Support:

Sehr geehrter Kunde,

zu Ihrer Anfrage haben wir folgende Antwort für Sie:

--
Leider können wir Ihre Aussage so nicht bestätigen.

Verschienden Tests mit Endgeräte u.a. Win7 Pro, Win XP und Android 2.3.x Geräten zeigten keinerlei Verbindungsabbrüche wührend der Kommunikation über den PPTP Tunnel.
Einzig Produkte des Herstellers Apple zeigten das Verhalten, dass nach einen kurzem Zeitraum die PPTP Verbindung nicht mehr funktionsfähig war.

Für eine korrekte Konfiguration des DSR-100N lesen Sie bitte in den Anleitungen auf unserem FTP Server nach: "ftp://ftp.dlink.de/dsr/dsr-1000n/documentation/"

Ein kleiner Hinweis zum PPTP Tunnel:
Ich persönlich habe die besten Ergebnisse erzielt, wenn ich als einzige Authetifizierungsmethode "MS-CHAPv2" am PPTP Server anbiete. Dies ist zugleich auch die beste Verschlüsselungsmethode.

Mit freundlichen Grüßen
Dlink Support

Deswegen habe ich mich überhaupt mit dem Thema IPSec beschäftigt! Mit meinem alten Draytek-Router war die Verbindung zwischen iPhone und PPTP für meine Bedürfnisse zu 100% ausreichend.

Die "Dlink-Krücke" hat mich stolze 350€ gekostet! Ich dachte mit dem Dlink den Ferrari unter den Routern gekauft zu haben.
Ich wollte einen Router mit 2 x WAN (1DSL + 1Kabelmodem). Und der Router sollte mit der 100Mbit/s Kabelleitung klar kommen.

Der alte Draytek hat trotz 100Mbit/s-Leitung nur ca. 30Mbit/s am LAN durchgebracht! Deswegen überhaupt der Wechsel des Routers.

Gruß
Basti
mrtux
mrtux 30.07.2011 um 15:00:47 Uhr
Goto Top
Hi !

Zitat von @basti76nie:
Die "Dlink-Krücke" hat mich stolze 350€ gekostet! Ich dachte mit dem Dlink den Ferrari unter den Routern
gekauft zu haben.

Hehe, als damals die Mauer geöffnet wurde, hat so mancher ehemalige DDR Bürger einen Fiat für einen Ferrari gehalten und nur weil eine poplige Schubkarre einen Spoiler hat, ist sie noch lange kein Rennflitzer...So mancher Wessi hat sich mit der Unwissenheit der Ossis eine goldenen Nase verdient und die haben das schmerzlich lernen müssen, was real existierender Kapitalismus bedeutet. Und ähnlich ist das mit Prospekten (und Aussagen von Verkäufern) in der IT.... face-wink

Der alte Draytek hat trotz 100Mbit/s-Leitung nur ca. 30Mbit/s am LAN durchgebracht! Deswegen überhaupt der Wechsel des
Routers.

100 Mbit bekommst Du da nie heraus...Vielleicht einfach nicht alles glauben was in Computerzeitschriften steht... :-P

mrtux
basti76nie
basti76nie 30.07.2011 um 15:10:22 Uhr
Goto Top
100 Mbit bekommst Du nie heraus, vielleicht einfach mal die Computerzeitschrift wechseln... :-P

Das stimmt schon, doch die jetzige Krücke schiebt immerhin ca. 75Mbit/s durch. Da fand ich den
Wechsel von Draytek zu der Dlink Krücke schon gerechtfertigt! Dass dieser nun so Probleme mit
dem Thema VPN hat, konnte ich doch auch nicht wissen ;)

basti
brammer
brammer 30.07.2011 um 17:59:50 Uhr
Goto Top
Hallo,

Da fand ich den Wechsel von Draytek zu der Dlink Krücke schon gerechtfertigt!

Der Wechsel von Pest nach Cholera....

Für 350,- kauf ich mir einen neuen oder zwei gebrauchte Cisco und gut ist.
Auf deinem IPhone läuft vermutlich der Standard VPN Client und der ist von Cisco...

brammer
aqui
aqui 31.07.2011 um 12:09:29 Uhr
Goto Top
@basti...
Da kann man den Vorrednern nur uneingeschränkt zustimmen.... D-Link und NetGear sind berühmt berüchtigt für ihre Fehlfunktion bei VPNs da muss man sich also nicht wundern wenn sowas wie bei dir passiert. Wenigstens kann man nur hoffen das du zum Testen die aktuelle Firmware geflasht hast ?!
Andere Hersteller wie Draytek, Lancom, Mikrotik 750, Cisco oder auch freie Lösungen wie Monowall oder pfSense funktionieren völlig problemlos und absolut stabil mit der VPN Funktion...nur mal so zum Vergleich.
Ein Draytek der dir den Ärger nicht gemacht hätte, hätte dich 150 Euro gekostet, Ein Cisco 831 etc. bei eBay auch nur unwesentlich mehr...., der Mikrotik 750 nur 30 Euro.
Viel Geld also sinnlos für ein schlechtes Billigprodukt verbrannt wo hier das "schlecht" sich auf die bekannt buggy Firmware bezieht ! Der Hotline Support hat vorher gerade ein paar Gas- und Stromkunden bedient und den erklärt wie die ihre Zähler ablesen, oder hast du erwartet das dort die D-Link Entwickler sitzen. Die sitzen in Indien....
Was erwartest du also von deinem Router ?!
basti76nie
basti76nie 31.07.2011 um 13:12:36 Uhr
Goto Top
Schon gut...ich habs doch verstanden ;)

Also verkaufe ich die Gurke eben wieder...
Wichtig wäre mir nur, dass der Router auch die 100Mbits meines INet-Anschluss so gut wie möglich verarbeiten kann
und ein funktionierendes VPN anbieten kann face-smile